基於ICMP協議漏洞的BlackNurse DDOS 攻擊防護-Defensics

安全研究人員發現了「BlackNurse Attack」——這是一種新型的攻擊技術，可以發起大規模DDoS攻擊，允許攻擊者利用有限資源使大量伺服器癱瘓。

研究人員發布分析報告指出，「這種攻擊不基於互聯網連接的純洪水攻擊，我們將其命名為「BlackNurse」。BlackNurse與過往的ICMP洪水攻擊不一樣，後者是快速將ICMP請求發送至目標；而BlackNurse是基於含有Type 3 Code 3數據包的ICMP。」

丹麥TDC安全運營中心（TDC Security Operations Center，TDC SOC）的研究人員發明設計了該攻擊方法，能有效攻擊知名防火牆保護的伺服器，這些防火牆品牌包括Cisco Systems、Palo Alto Networks、SonicWall和 Zyxel。

報告指出，「我們注意到BlackNurse攻擊，是因為在反DDoS解決方案中，我們發現，即使每秒發送很低的流量速度和數據包，這種攻擊仍能使我們的客戶伺服器操作陷入癱瘓。這種攻擊甚至適用於帶有大量互聯網上行鏈路的客戶，以及部署防火牆保護的大企業。我們期望專業防火牆設備能應對此類攻擊」。

BlackNurse攻擊利用帶有Type 3 Code 3數據包ICMP（路由器和網路設備使用的）發送並接受錯誤信息。

通過發送這種特定類型的ICMP數據包，攻擊者可以過載某些伺服器防火牆的CPU。

研究人員注意到，當達到15 Mbps至18 Mbps的門檻時，這些網路設備發出太多數據包，以致伺服器離線。

TDC SOC的研究人員解釋道，BlackNurse攻擊允許攻擊者用一台筆記本電腦發起峰值高達180 Mbps的DDoS攻擊。

分析報告指出，「如果你的網路連接傳輸速率達1 Gbit/s，這不重要，BlackNurse都能攻擊成功。我們在不同防火牆上看到的影響通常是高CPU負載。當攻擊持續時，區域網用戶將無法接發互聯網流量。我們發現，攻擊中止時，所有防火牆便恢復正常。」

專家證實，過去兩年，其它95起DDoS攻擊利用ICMP協議對TDC網路內的客戶發動攻擊，但至於BlackNurse攻擊的數量不確定。

Netresec的專家證實，幾個大型廠商的防火牆無法抵禦此類攻擊，包括Cisco Systems、Palo Alto Networks、 SonicWall和Zyxel。

這類問題的根源其實在於測試不夠充分，如何在發布之前解決？

Synopsys公司的網路協議Fuzzing產品-Defensics能夠協助研發團隊在產品發布前找到此類質量和安全問題。DEFENSICS工具模擬引擎是業界第一款基於狀態的Fuzz 測試用例生成器。它利用深度協議模型來智能的、精確的命中目標協議中易受攻擊影響的部分，自動的生成具有廣泛覆蓋的Fuzz 測試用例。值得一提的是Defensics也是心臟出血漏洞的發現者。

如果您感興趣，歡迎發郵件到Bao.Han@synopsys.com申請試用。

推薦閱讀：